为确保路由器的安全,必须对路由器中的每一运维用户或与之相连的路由器进行有效的标识与鉴别,只有通过鉴别的用户才能被赋予相应的权限,进入路由器并在规定的权限内操作。
a应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
一般来说,用户登录路由器方式包括:
利用控制台端口(Console)通过串口进行本地连接登录。
利用辅助端口(AUX)通过Modem进行远程拨号连接登录或
者利用虚拟终端(VTY)通过TCP/IP网络进行远程Telnet登录等。
无论是哪一种登录方式,都需要对用户身份进行鉴别,口令是路由器用来防止非授权访问的常用手段,是路由器本身安全的一部分。因此需要加强对路由器口令的管理,包括口令的设置和存储,最好的口令存储方法是保存在TACACS+或RADIUS认证服务器上。管理员应当依据需要为路由器相应的端口加上身份鉴别最基本的安全控制。
路由器不允许配置用户名相同的用户,同时要防止多人共用一个账户,实行分账户管理,每名管理员设置一个单独的账户,避免出现问题后不能及时进行追查。
为避免身份鉴别信息被冒用,可以通过采用令牌、认证服务器等措施,加强身份鉴别信息的保护。如果仅仅基于口令的身份鉴别,应当保证口令复杂度和定期更改的要求。
使用“servicepassword-encryption”命令对存储在配置文件中的所有口令和类似数据进行加密,避免通过读取配置文件而获取用户口令的明文。
1)应核查用户在登录时是否采用了身份鉴别措施;
2)应核查用户列表,测试用户身份标识是否具有唯一性;
以华为路由器为例,输入“displaycurrent-configuration”命令。
3)应核查用户配置信息或访谈系统管理员,核查是否不存在空口令用户;
4)应核查用户鉴别信息是否具有复杂度要求并定期更换。
1、
a、路由器使用口令鉴别机制对登录用户进行身份标识和鉴别;
b、登录时提示输入用户名和口令;以错误口令或空口令登录时提示登录失败,验证了登录控制功能的有效性;
c、路由器中不存在密码为空的用户。
2、Cisco:输入showrun命令,存在如下类似用户列表配置:
usernameadminprivilege15password0xxxxxxxx
usernameauditprivilege10password0xxxxxxxx
或启用AAA服务器进行身份认证
aaanew-modelaaaauthenticationlogindefaultgrouptacacs+localenable
aaaauthenticationenabledefaultgrouptacacs+enable
华为/H3C:输入displaycurrent-configuration命令,存在如下类似用户列表配置:local-usernetadminpasswordirreversible-cipherxxxxxx
或启用AAA服务器进行身份认证
hwtacacsschemexxxxx
primaryauthenticationxxxxx
primaryauthorizationxxxxx
primaryaccountingxxxxxL
keyauthenticationcipherxxxxxx
keyauthorizationcipherxxxxxx
keyaccountingcipherxxxxxx
3、
Cisco:输入showrun命令,存在如下类似配置:
usernameadminprivilege15password0xxxxxxxx
usernameauditprivilege10
password0xxxxxxxx
华为/H3C:输入displaycurrent-configuration命令,查看是否存在如下类似配置:
local-usernetadminpasswordirreversible-cipherxxxxxx
4、
口令组成:应由数字、字母、特殊字符组成
口令长度:应大于8位
口令更换周期:口令一般三个月换一次
H3C:输入displaypassword-control,查看是否存在如下配置
password-controlaging90
password-controllength8
password-controlhistory10
password-control